基于身份位置分离系统的互联网安全模式研究

吴 强，陈 琳

（1.中兴通讯股份有限公司 南京 210012；2.南京信息工程大学 南京 210007）

1 引言

客观上，几乎没有一个网络能够免受安全的困扰，网络安全的问题仍然制约着深层次的网络应用发展。随着云计算、物联网和智慧地球概念的逐步推进，网络将从更广泛、更复杂的层面影响到现实社会。因此，在网络化、信息化进程不可逆转的形势下，如何建立完备的安全保障体系，从网络体系结构上保证网络信息的真实来源，实现可靠的网络、业务和用户综合管理能力，是亟待解决的一项具有重大战略意义的课题。

2 互联网网络安全现状及趋势

随着网络技术的飞速发展和网络时代的到来，网络攻击者在过去的10年里从追求出名转变为追求经济利益，犯罪软件频频出现，其目标是窃取机密信息以换取经济利益，受害者则是那些毫无防范的计算机用户。目前，网络安全问题进入第3阶段——以网络间谍和网络破坏活动为主。其具体表现如下。

·精确制导和目标集中型病毒的威胁。

·“僵尸网络”继续扮演攻击者角色。

·基于社交网站的威胁：针对社交网站的攻击和基于社交网站的病毒传播、网络欺骗、垃圾邮件将成为很大的安全问题。黑客都能毫无限制地窃取用户的资料和登录密码。

·云计算的发展面临诸多安全威胁：云计算的滥用、恶用、拒绝服务攻击，数据泄漏，账号和服务劫持，此类威胁将成为新的关注热点。

·终端安全问题愈发严重：因缺乏对第三方应用的安全性的有效控制，恶意软件、病毒将严重威胁智能终端。在开放的网络环境下，物联网等无人监管设备的信息安全脆弱性长期存在。

·IPv6网络安全技术：IPv6协议从安全角度来说，基本保留了IPv4的特点，同时有了一些改进。IPv6网络安全技术将朝着单层向多层、被动向主动、边界向核心的方向发展。网络安全仍然是IPv6大规模部署需要特别考虑的问题。

网络安全问题表现出产业化、复杂化、规模化的发展态势，网络安全问题逐步转化成为一种综合、复杂的威胁。

3 互联网虚拟社会信息安全分析

虚拟性和匿名性是网络与生俱来的基本特性，互联网在人们现实生活之上构建了一个庞大的虚拟空间，并深刻地影响着现实社会。随着现实社会生产活动更深程度上向互联网应用迁移，互联网虚拟社会管理面临挑战。

互联网虚拟社会具有隐匿性、快速传播和开放互动3个特点。隐匿性是指网络身份隐匿、非真实，网络行为主题可以拥有许多虚拟名称，导致了虚拟身份的网络诈骗频发，其中虚假网银诈骗危害巨大；虚假言论泛滥，造谣生事、混淆视听者屡禁不止；快速传播，网络即时性强、跨地域，传播异常迅速；互联网完全开放，任何人、任何地区、任何时间、任何话题都可以自由发表意见，互动性极强，易于产生聚集效应和规模膨胀效应。现有虚拟社会信息安全存在如下缺陷。

·用户身份分布在不同的ICP中，在互联网应用层识别网络活动个体，由于用户标识不统一、不唯一，ICP和普通用户无法识别通信对端的身份，企业、个人的防范能力薄弱。追溯用户真实身份链条长，难以实时，机制复杂，实施范围受限。而国家职能部门在应付网络监控、保障信息安全的日常化管理中仍然受到人、财、物等方面的制约，在迅速发展和膨胀的网络社会中还存在许多管理上的空隙、漏洞和不足，互联网安全保障需要互联网活动主体的全员参与。

·安全防范手段缺乏灵活性，攻防成本不对称，防护硬件成本高，缺乏与安全级别对应的分层级、全员参与的安全措施，能够采取的安全措施特别是管控手段匮乏，安全措施的技术门槛及成本制约了网络的自优化、自身调节和自维护能力。

·管理对象的标识始终在变化、发展，造成安全管理主体模糊，安全管理手段疲于应付，处于被动适应局面。针对新攻击需要连续投入，存在间隙期。对网络行为难以实施有效的全面监控，难以准确、及时阻止网络犯罪行为。例如，国内外现有反垃圾邮件的主要技术手段，是屏蔽恶意垃圾邮件站点连接所在的子网，在阻止攻击行为的同时，也影响了无辜用户的正常使用。

互联网是在自组织机制上发展起来的，它不是一个纯技术的系统，也不是技术系统和社会系统互为外在环境的简单结合，它本身就包括了技术系统和社会子系统。互联网安全模式要从社会发展、技术进步、经济状况等诸多方面综合考虑，涉及法律、管理和技术手段等方面的共同作用，兼顾到网络安全和网络繁荣。

自然人是互联网的主体，是互联网的拥有者、管理者和使用者，是互联网安全模式服务的核心。网络行为主体是自然人在互联网中的虚拟实践，自然人在虚拟实践过程中享有充分的自主性、自由度和自觉性，享有充分的主体性地位。网络行为主体与自然人之间对应关系，是法律层面的问题，需要由法规政策以及运营策略来规范。技术是实现互联网安全模式的重要手段，不单是以防护为主的静态技术体系，而是防护、检测、响应、恢复并重的动态的技术体系。技术层面应能全程全网识别网络行为主体，并支持网络行为主体与自然人之间对应关系的灵活性，解决虚拟实践活动中所面临的主体性困境问题。

互联网业务发展是不断创新的垂直整合过程，先天缺乏互联网业务间横向关联机制。网络安全贯穿各个环节，由于业务的多样性和灵活性，基于业务层面的安全模式必然随业务的不断演化而演化，导致安全措施始终处于疲于应付、发展滞后的被动局面。基础网络作为技术手段的重中之重，需要发挥关键和切实的作用。有必要从基础网络建立数字源头的全程验证和标记检测，达到所有访问、使用和传递过程都有全程监控可查，形成一个事件因果关系逻辑结构的可信的生态系统。

4 基于身份位置分离系统的互联网安全模式

4.1 IP地址二义性

互联网并没有强制每个用户都有一个名字，移动性支持、传输层连接直接使用IP地址，IP地址具有名、址双重属性。

身份属性：在TCP/IP协议栈中，IP地址标识通信对端。

位置属性：IP地址代表用户所处网段，是路由的基础。

移动互联网时代，终端位置频繁移动，IP地址的身份和位置属性难以统一。现有互联网普遍采用为终端主机动态分配公网地址或者为终端主机分配私网地址；采用NAT技术来缓解IPv4地址短缺问题。在这种情况下，多数主机的IP地址随时间、地点变化或者重复使用私网地址。IP地址的二义性以及标识主机的IP地址不固定的特点，使得互联网缺乏统一身份标识管理体系。

4.2 身份位置分离系统

如图1所示，身份位置分离系统包含的网元从逻辑功能上抽象为主机、映射服务器、边缘网关设备。网络中主机有两种标识类型。

·主机身份标识：主机身份标识指示用户身份，用于端到端通信时标识通信对端。

·位置路由标识：位置路由标识指示终端用户当前所在的位置，用于数据报文转发时的路由。

映射服务器通过映射表保存了终端主机的身份标识和位置标识的对应关系。多个映射服务器构成映射平面，集中管理用户的主机身份标识。

身份标识作为主机开户信息保持静态不变。根据主机接入方式的不同，采用现有主机IP地址配置的流程，主机可以获得开户时的身份标识。位置标识根据主机位置由当前接入的边缘网关设备分配。边缘网关设备与映射服务器配合，通过注册更新流程，将实时更新映射服务器中保存的主机身份标识和位置路由标识的映射关系。

主机1向主机2发起通信时，边缘网关设备1根据通信对端身份标识，到映射服务器查询主机2的位置标识，并将查询结果保存在边缘网关设备1的映射路由表中，采用映射路由表实时性地维护主机2的身份标识/位置标识映射信息，并根据映射路由表实现数据报文封装处理、路由和转发。边缘网关设备2收到边缘网关设备1发出的数据报文后，进行位置标识解封装处理，将解封装后的数据报文送达通信对端。

通信一端主机位置变化时，边缘网关设备向映射服务器注册新的位置标识并通知通信对端，此后通信两端将以新的位置标识进行通信。

主机身份标识作用域在接入网和映射平面；位置路由标识作用域在骨干网。由于骨干网不直接处理主机身份标识，主机难以访问骨干网，保证了骨干网与用户隔离。

4.3 网络安全模式运营机制

通过身份位置分离系统，在基础网络层面建立网络行为主体的统一标识体系，实现网络身份识别全程全网有效传递，其有效性体现在网络身份标识传输的真实性、合法性、防伪造性、防篡改性，唯一性。

·真实性：网络行为主体与自然人之间是否对应，取决于政策法规以及运营策略的要求。通过营业厅开户时身份验证或者与手机实名、PPPoE拨号、IPIN/eID等方式，实现网络身份识别与和用户社会真实身份的关联；或者选取某一号段向社会公布，该号段用户与社会自然人身份绑定，从事网络活动时具有较高的信用级别。

·合法性：通过基础网络的认证机制实现用户的合法性认证后，网络赋予用户固定不变的身份标识，标识用户身份。

·防伪造：在现有互联网接入认证的基础上，增加身份标识和用户接入方式的强相关认证，强化用户接入认证，保证用户接入的合法性。

·防篡改：身份标识封装后在骨干网中传输，在数据流端到端传输过程中，数据流与接入网络的其他主机相隔离，确保身份标识不被篡改；身份位置分离系统中身份标识与位置标识具有不同的作用域，增强了网络的抗攻击能力。

·唯一性：网络为网络行为主体在全网范围内分配唯一标识。

基于身份位置分离系统建立的互联网统一身份标识管理体系，可以实现“基础网络真实标识，互联网业务应用虚拟”。

·基础网络真实标识：实现网络行为主体在基础网络中具有确定的唯一的身份标识，保障用户标识全程全网的有效性。用户个人真实信息集中在基础网络运营商的数据库中，可以最大程度保护用户隐私。

·互联网业务应用虚拟：应用层可采用虚拟身份进行沟通交流，延续了互联网应用的虚拟性和开放性。ICP保存网民虚拟世界的信息，尽量不涉及个人真实信息。

基础网络真实标识和应用虚拟相结合，便于基础网络层面集中实施，进而辐射整个互联网虚拟社会的管理，在保障互联网虚拟开放特性的同时，提升互联网公共安全保障能力，面向个人和ICP提供服务。通过提高个人信息安全、提高交易安全、使用便利，吸引用户；通过降低成本、减少欺诈、降低客户获取门槛，产生新的商业模式，吸引ICP，并带动基础网络的发展和服务水平的提高。

这一网络安全模式以平滑的方式提升互联网安全性，主要表现如下。

（1）提供了基础网络信用保证下的可信网络环境

用户接入网络的用户身份标识唯一，不随接入地点、接入时间、接入方式的变化而改变。在数据传输中，用户发出的每个数据分组均携带用户身份标识。基础网络提供实名业务，用户决定何时发起实名业务，此时发送数据报文携带用户的真实身份标识，数据报文接收方据此判断信息来源的可信性。

网络行为主体全程全网携带的身份标识，可快速识别攻击源，阻止继续攻击并交付法律惩办，这种追溯机制的改进，可以减少钓鱼网站的出现，将外来入侵者拒之门外，网页篡改可大幅减少并得以追溯。

通过基础网络隔离互联网虚拟空间和可信空间，为电子商务、企业办公等业务的开展创造良好基础网络环境。

（2）提升网络安全技术手段的管理效率

防范恶意攻击更高效，提高了网络安全管理的准确性。如果发现有恶意攻击行为，可以直接屏蔽对应身份标识，而不是屏蔽整个子网，从而避免其他无辜用户受到牵连，减少攻击处理时的负面影响。

由于技术门槛、资金门槛的降低，企业个人网络防范应对能力得以加强。通过主机或者网络设定的黑白名单，可以有效管理，诸如无人看管物联网终端等场景的信息安全。

保证合法监听、网络监控等安全措施的实时性和便捷性，提高响应网络的安全事件及时性。

通过提升网络安全技术手段的管理效率，响应及时性，提升主机自身防范能力，扭转网络安全攻防成本不对称的局面。

（3）可以开展用户的个性化安全业务

在愈加广泛的网络应用中，来自社会各行业领域的安全需求日益加大。不同的行业及需求特点决定了不同的安全适用机制，愈加细分和个性化的服务正在引导着信息安全产业走向未来。

通过互联网统一标识体系，网络对被叫的集体保护更加可靠。由于用户标识符全网唯一，网络管理者细分用户群，可以设置统一的分类名单，对用户实行分级管理。例如影视节目分级制度、版权管理等，满足对受众的细分管理和个性化服务互联网应用深度发展的现实需求。

5 与应用层电子证书比较

应用层电子证书如银行电子证书等认证业务已长期使用，应用范围为银行交易等高安全级别类业务。与基础网络统一标识体系的比较见表1。

应用层电子证书虽实现复杂、成本高、应用范围受限，但责任主体明晰，对高安全级别业务是较为适合的应用场景；基础网络统一标识体系提升整个互联网公共安全水平，提供灵活的网络安全防范、管理、控制措施。应用层电子证书与基础网络统一标识体系各有不同的应用场景和特点，适用于解决不同的问题。

这一网络安全模式在基础网络的统一部署是实施的关键，在技术层面提供了与网络安全级别相适应的灵活多样的手段。通过基础网络集中部署，能够保证数据来源及传输通道的可信，诸如数据完整性、终端设备本身的安全性不在考虑范围内。而强化互联网安全，适应社会发展、经济状况的法律法规、管理措施作为一个整体不可或缺。

表1 应用层电子证书与基础网络统一标识体系的比较

6 结束语

基础网络作为智能管道，应该在以开放、简单和共享为宗旨的技术优势基础上，建立完备的安全保障体系，从网络体系结构上保证网络信息的来源，实现可靠的网络、业务和用户综合管理能力。基于身份位置分离系统的互联网安全模式，不仅在技术手段上为网络安全提供保障，更是为网络的健康、有序发展提供了良好环境。电子商务、企业办公、广电业务等已经成为互联网主要应用，互联网应用的安全性挑战，也必将成为互联网技术发展和制度完善的现实驱动力。

1 吴强，江华，孙默.加快IPv6发展，构建互联网统一标识体系.电信科学，2011，27(6)

2 叶惠敏，何德全，戴冠中.开放的复杂巨系统internet可存活性需求分析框架，计算机工程，2005,31(4)

3 Ved P Kafle,Hldekl Otsukl,Masugl Inoue.An ID/locator split architecture for future networks. IEEE Communications Magazine,2010,48(2)

4 Hideki Toshinaga,Koki Mitani,Hiroshi Shibata,et al.Wide area ubiquitous network service system.NTT Technical Review,2008,6(3)

5 Farinacci D,Fuller V,Meyer D,et al.Locator/ID separation protocol (LISP).Internet Draft,http://tools.ietf.org/html/draftietf-lisp-05,Sept 2009